Auditd : ausearch でログを検索する2022/12/20 |
|
監査ルールは個別に設定することも可能ですが、デフォルトでも、システムへのログインやユーザーアカウント操作、Sudo
アクションなどは監査され、[/var/log/audit/audit.log] へ記録されています。
|
|
| [1] | ログはテキスト形式で記録されているため、ログファイルを直接開いて参照可能です。 |
|
root@dlp:~# tail -5 /var/log/audit/audit.log type=UNKNOWN[1420] msg=audit(1671503677.557:283): subj_apparmor=unconfined type=USER_START msg=audit(1671503677.557:284): pid=2166 uid=1000 auid=1000 ses=21 subj=? msg='op=PAM:session_open grantors=pam_keyinit,pam_env,pam_env,pam_mail,pam_limits,pam_permit,pam_umask,pam_unix,pam_systemd acct="root" exe="/usr/bin/su" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success'UID="ubuntu" AUID="ubuntu" type=SYSCALL msg=audit(1671503677.557:284): arch=c000003e syscall=44 success=yes exit=228 a0=4 a1=7fff6da8e910 a2=e4 a3=0 items=0 ppid=2155 pid=2166 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=ttyS0 ses=21 comm="su" exe="/usr/bin/su" subj=? key=(null)ARCH=x86_64 SYSCALL=sendto AUID="ubuntu" UID="ubuntu" GID="ubuntu" EUID="root" SUID="root" FSUID="root" EGID="ubuntu" SGID="ubuntu" FSGID="ubuntu" type=PROCTITLE msg=audit(1671503677.557:284): proctitle=7375002D type=UNKNOWN[1420] msg=audit(1671503677.557:284): subj_apparmor=unconfined |
| [2] | [audit.log] には膨大なログが記録されるため、Audit パッケージには特定のログを検索することができる [ausearch] コマンドが同梱されています。 |
|
# ログインに関するログを検索 root@dlp:~# ausearch --message USER_LOGIN --interpret ---- type=USER_LOGIN msg=audit(12/20/2022 11:30:37.532:41) : pid=1408 uid=root auid=ubuntu ses=3 subj=? msg='op=login acct=ubuntu exe=/usr/bin/login hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ---- type=USER_LOGIN msg=audit(12/20/2022 11:30:43.588:67) : pid=1481 uid=root auid=root ses=5 subj=? msg='op=login acct=root exe=/usr/bin/login hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ---- type=USER_LOGIN msg=audit(12/20/2022 11:31:05.507:95) : pid=1581 uid=root auid=debian ses=7 subj=? msg='op=login acct=debian exe=/usr/bin/login hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ---- type=USER_LOGIN msg=audit(12/20/2022 11:31:12.087:119) : pid=1646 uid=root auid=root ses=9 subj=? msg='op=login acct=root exe=/usr/bin/login hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ..... ..... # ユーザー ID 1000 の sudo 実行履歴を検索 root@dlp:~# ausearch -x sudo -ua 1000 ---- time->Tue Dec 20 11:32:39 2022 type=USER_AUTH msg=audit(1671503559.574:191): pid=1925 uid=1000 auid=1000 ses=15 subj=? msg='op=PAM:authentication grantors=pam_permit,pam_cap acct="ubuntu" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ---- time->Tue Dec 20 11:32:39 2022 type=UNKNOWN[1420] msg=audit(1671503559.574:191): subj_apparmor=unconfined type=PROCTITLE msg=audit(1671503559.574:191): proctitle=7375646F006C73 type=SYSCALL msg=audit(1671503559.574:191): arch=c000003e syscall=44 success=yes exit=164 a0=7 a1=7fff7442d310 a2=a4 a3=0 items=0 ppid=1916 pid=1925 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=ttyS0 ses=15 comm="sudo" exe="/usr/bin/sudo" subj=? key=(null) ---- time->Tue Dec 20 11:32:39 2022 type=USER_ACCT msg=audit(1671503559.574:192): pid=1925 uid=1000 auid=1000 ses=15 subj=? msg='op=PAM:accounting grantors=pam_permit acct="ubuntu" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ..... ..... # [dlp.srv.world] で発生した失敗イベントの履歴を検索 root@dlp:~# ausearch --host dlp.srv.world --success no ---- time->Tue Dec 20 11:33:59 2022 type=USER_AUTH msg=audit(1671503639.397:255): pid=2079 uid=1001 auid=1001 ses=19 subj=? msg='op=PAM:authentication grantors=? acct="root" exe="/usr/bin/su" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed' ---- time->Tue Dec 20 11:34:22 2022 type=USER_AUTH msg=audit(1671503662.857:277): pid=2165 uid=1000 auid=1000 ses=21 subj=? msg='op=PAM:authentication grantors=? acct="ubuntu" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed' ---- time->Tue Dec 20 11:34:26 2022 type=USER_AUTH msg=audit(1671503666.009:278): pid=2165 uid=1000 auid=1000 ses=21 subj=? msg='op=PAM:authentication grantors=? acct="ubuntu" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed' ..... ..... # 2022/12/19 ~ 2022/12/20 間に発生したログインユーザー ID が 1001 のログを検索 root@dlp:~# ausearch --start 12/19/2022 --end 12/20/2022 -ul 1001 ---- time->Tue Dec 20 11:31:05 2022 type=UNKNOWN[1420] msg=audit(1671503465.379:86): subj_apparmor=unconfined type=PROCTITLE msg=audit(1671503465.379:86): proctitle=2F62696E2F6C6F67696E002D70002D2D type=SYSCALL msg=audit(1671503465.379:86): arch=c000003e syscall=1 success=yes exit=4 a0=3 a1=7ffcff0f0ff0 a2=4 a3=0 items=0 ppid=1 pid=1581 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=ttyS0 ses=7 comm="login" exe="/usr/bin/login" subj=? key=(null) type=LOGIN msg=audit(1671503465.379:86): pid=1581 uid=0 subj=? old-auid=4294967295 auid=1001 tty=ttyS0 old-ses=4294967295 ses=7 res=1 type=UNKNOWN[1420] msg=audit(1671503465.379:86): subj_apparmor=unconfined ---- time->Tue Dec 20 11:31:05 2022 type=UNKNOWN[1420] msg=audit(1671503465.431:90): subj_apparmor=unconfined type=PROCTITLE msg=audit(1671503465.431:90): proctitle="(systemd)" type=SYSCALL msg=audit(1671503465.431:90): arch=c000003e syscall=1 success=yes exit=4 a0=7 a1=7fffc09c3420 a2=4 a3=0 items=0 ppid=1 pid=1628 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=8 comm="(systemd)" exe="/usr/lib/systemd/systemd" subj=? key=(null) type=LOGIN msg=audit(1671503465.431:90): pid=1628 uid=0 subj=? old-auid=4294967295 auid=1001 tty=(none) old-ses=4294967295 ses=8 res=1 type=UNKNOWN[1420] msg=audit(1671503465.431:90): subj_apparmor=unconfined ..... ..... |
| Sponsored Link |